DE102016210984A1 - Verfahren zum Betreiben eines Steuergeräts - Google Patents

Verfahren zum Betreiben eines Steuergeräts Download PDF

Info

Publication number
DE102016210984A1
DE102016210984A1 DE102016210984.7A DE102016210984A DE102016210984A1 DE 102016210984 A1 DE102016210984 A1 DE 102016210984A1 DE 102016210984 A DE102016210984 A DE 102016210984A DE 102016210984 A1 DE102016210984 A1 DE 102016210984A1
Authority
DE
Germany
Prior art keywords
test result
control unit
unit
depending
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016210984.7A
Other languages
English (en)
Inventor
Thomas Hartgen
Jaroslaw Topp
Margit Mueller
Dieter Thoss
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102016210984.7A priority Critical patent/DE102016210984A1/de
Priority to US15/617,610 priority patent/US10384689B2/en
Priority to CN201710464055.1A priority patent/CN107526290B/zh
Publication of DE102016210984A1 publication Critical patent/DE102016210984A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2236Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
    • G06F11/2242Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors in multi-processor systems, e.g. one processor becoming the test master
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/27Built-in tests
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Es wird ein Verfahren zum Betreiben eines Steuergeräts (2) eines Kraftfahrzeugs vorgeschlagen. Eine Zustandsanfrage (36) wird mittels einer Watchdog-Einheit (12) an eine erste Kontrolleinheit (24), welche auf einem ersten Rechenkern (6) eines Mehrkernprozessors (4) ausgeführt wird, übermittelt. Eine Zustandsantwort (34) wird mittels der ersten Kontrolleinheit (24) in Abhängigkeit von der Zustandsanfrage (36) ermittelt. Ein Fehler (38) wird mittels der Watchdog-Einheit (12) in Abhängigkeit von der Zustandsantwort (34) ermittelt.

Description

  • Stand der Technik
  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts nach dem Oberbegriff des Anspruchs 1 sowie ein Steuergerät nach einem nebengeordneten Anspruch.
  • Sogenannte Watchdog-Einheiten, welche den Ablauf einer Software auf einem Mikrocontroller eines Steuergeräts für ein Kraftfahrzeug überwachen, sind allgemein bekannt. Eine Zustandsanfrage wird mittels der Watchdog-Einheit an eine erste Kontrolleinheit, welche beispielsweise auf einem ersten Rechenkern eines Mehrkernprozessors ausgeführt wird, übermittelt. Eine Zustandsantwort wird mittels der ersten Kontrolleinheit in Abhängigkeit von der Zustandsanfrage ermittelt. Ein Fehler wird mittels der Watchdog-Einheit in Abhängigkeit von der Zustandsantwort ermittelt.
  • Des Weiteren ist das sogenannte 3-Ebenen-Konzept bekannt, durch welches ein sicherer Betrieb eines Steuergeräts eines Kraftfahrzeugs mit hoher Verfügbarkeit bei gleichzeitig geringem Aufwand und damit geringen Kosten ermöglicht wird.
  • Aus der DE 44 38 714 A1 ist ein Verfahren zur Steuerung einer Antriebseinheit eines Fahrzeugs bekannt. Zur Leistungssteuerung der Antriebseinheit ist nur ein einziges Rechenelement (Mikrocomputer) vorgesehen, welches sowohl die Steuerung als auch die Überwachung durchführt.
  • Aus der DE 103 31 872 A1 ist ein Verfahren zur Überwachung eines technischen Systems bekannt. Ein Steuergerät-übergreifender Softwarerahmen, welcher in den Steuergeräten insbesondere in den Rechenelementen der Steuergeräte implementiert ist, führt die Überwachung und/oder Regelung der Anwendersoftware des Steuergeräts durch.
  • Die DE 101 13 917 A1 offenbart ein Verfahren zur Überwachung von Daten und der Übertragung der Daten zwischen wenigstens einer ersten und einer zweiten Steuereinheit. Durch eine Komponente erfasste Daten werden von der ersten zur zweiten Steuereinheit gesichert über eine einzige Verbindung übertragen. Eine getrennte Absicherung der Daten und der Datenübertragung in der ersten und zweiten Programmebene erfolgt derart, dass Fehler der Daten und in der Datenübertragung erkannt werden.
  • Offenbarung der Erfindung
  • Das der Erfindung zugrunde liegende Problem wird durch ein Verfahren nach dem Anspruch 1 sowie durch ein Steuergerät nach einem nebengeordneten Anspruch gelöst.
  • Es wird vorgeschlagen, ein erstes Prüfergebnis mittels einer ersten Selbsttest-Einheit, welche auf dem ersten Rechenkern ausgeführt wird, zu ermitteln. Des Weiteren wird ein zweites Prüfergebnis mittels einer zweiten Selbsttest-Einheit, welche auf einem zweiten Rechenkern des Mehrkernprozessors ausgeführt wird, ermittelt. Ein drittes Prüfergebnis wird mittels einer zweiten Kontrolleinheit in Abhängigkeit von dem zweiten Prüfergebnis ermittelt. Die Zustandsantwort wird mittels der ersten Kontrolleinheit in Abhängigkeit von dem ersten Prüfergebnis und in Abhängigkeit von dem dritten Prüfergebnis ermittelt.
  • Vorteilhaft wird durch die Verknüpfung des ersten und des dritten Prüfergebnisses eine über mehrere Rechenkerne und/oder Mehrkernprozessoren hinweg skalierbare Lösung geschaffen, welche gleichzeitig eine hohe Verfügbarkeit des gesamten Steuergeräts auf günstige Art und Weise gewährleistet. Insbesondere können hierdurch heterogene Architekturen von Steuergeräten mit einer hierarchischen Watchdog-Struktur versehen werden. Darüber hinaus wird eine Portierbarkeit einzelner Softwarekomponenten der Steuergeräte vereinfacht. Insbesondere können durch das vorgeschlagene Verfahren bzw. Steuergerät die erhöhten Anforderungen in Bezug auf Rechenleistung und in Bezug auf Sicherheit erfüllt werden.
  • Darüber hinaus erfolgt mittels der zweiten Kontrolleinheit eine Entkopplung der Verarbeitung des zweiten Prüfergebnisses von der Ermittlung der Zustandsantwort für die Watchdog-Einheit. Hierdurch wird auch eine zeitliche Entkopplung der Zeitdomäne zur Kommunikation zwischen der Watchdog-Einheit und der ersten Kontrolleinheit, der Zeitdomäne zur Kommunikation zwischen der zweiten Kontrolleinheit und der zweiten Selbsttest-Einheit und der Zeitdomäne ausgeführter Tasks ermöglicht.
  • In einer vorteilhaften Ausführungsform wird ein viertes Prüfergebnis mittels einer dritten Selbsttest-Einheit, welche auf einem dritten Rechenkern des Mehrkernprozessors ausgeführt wird, ermittelt. Das dritte Prüfergebnis wird mittels der zweiten Kontrolleinheit in Abhängigkeit von dem zweiten Prüfergebnis und in Abhängigkeit von dem vierten Prüfergebnis ermittelt.
  • In einer vorteilhaften Ausführungsform wird das zweite Prüfergebnis mit einem zweiten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit verglichen. Das vierte Prüfergebnis wird mit einem vierten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit verglichen. Ein weiterer Fehler wird ermittelt, wenn das zweite und/oder vierte Prüfergebnis von dem jeweiligen Soll-Ergebnis abweicht. Eine Fehlertoleranzzeit (FTTI: Failure Tolerance Time Interval) von unter 50 ms sowie eine schnelle Abschaltzeit können auf diese Art und Weise realisiert werden.
  • In einer vorteilhaften Weiterbildung wird der weitere Fehler mittels der zweiten Kontrolleinheit ermittelt, wenn nach Ablauf einer Zeitdauer das zweite oder vierte Prüfergebnis nicht vorliegt. Vorteilhaft realisiert damit auch die zweite Kontrolleinheit eine Timeout-Watchdog-Funktion.
  • In einer vorteilhaften Ausführungsform wird der erste Rechenkern mittels eines zugeordneten Lockstep-Rechenkerns gemäß einem Lockstep-Verfahren betrieben. Damit wird die funktionale Sicherheit erhöht.
  • In einer vorteilhaften Ausführungsform wird die zweite Kontrolleinheit auf dem ersten Rechenkern ausgeführt, eine Programmablaufkontrolle wird in Bezug auf die Ausführung der zweiten Kontrolleinheit ausgeführt, und das erste Prüfergebnis umfasst ein Ergebnis der Programmablaufkontrolle. Vorteilhaft wird auf diese Art und Weise die zweite Kontrolleinheit mittels der Watchdog-Einheit überwacht.
  • In einer vorteilhaften Ausführungsform wird eine weitere Zustandsanfrage mittels einer weiteren Watchdog-Einheit, welche auf dem zweiten Prozessorkern ausgeführt wird, an eine sekundäre erste Kontrolleinheit, welche auf einem sekundären ersten Rechenkern eines sekundären Mehrkernprozessors ausgeführt wird, übermittelt. Eine weitere Zustandsantwort wird mittels der sekundären ersten Kontrolleinheit in Abhängigkeit von der weiteren Zustandsanfrage ermittelt. Ein weiterer Fehler wird mittels der weiteren Watchdog-Einheit in Abhängigkeit von der weiteren Zustandsantwort ermittelt. Ein sekundäres erstes Prüfergebnis wird mittels einer sekundären ersten Selbsttest-Einheit, welche auf dem sekundären ersten Rechenkern ausgeführt wird, ermittelt. Ein sekundäres zweites Prüfergebnis wird mittels einer sekundären zweiten Selbsttest-Einheit, welche auf einem sekundären zweiten Rechenkern des sekundären Mehrkernprozessors ausgeführt wird, ermittelt. Ein sekundäres drittes Prüfergebnis wird mittels einer sekundären zweiten Kontrolleinheit in Abhängigkeit von dem sekundären zweiten Prüfergebnis ermittelt. Die sekundäre Zustandsantwort wird mittels der sekundären ersten Kontrolleinheit in Abhängigkeit von dem sekundären ersten Prüfergebnis und in Abhängigkeit von dem sekundären dritten Prüfergebnis ermittelt. Vorteilhaft kann durch diese Ausführungsform eine weitergehende Skalierung in Bezug auf den sekundären Mehrkernprozessor erreicht werden.
  • In einer vorteilhaften Weiterbildung wird der zweite Rechenkern des Mehrkernprozessors mittels eines zugeordneten Lockstep-Rechenkerns gemäß des Lockstep-Verfahrens betrieben. Der sekundäre erste Rechenkern wird mittels eines zugeordneten Lockstep-Rechenkerns gemäß dem Lockstep-Verfahren betrieben. Diese Weiterbildung erhöht die funktionale Sicherheit.
  • In einer vorteilhaften Ausführungsform ist die Watchdog-Einheit als ein Hardware-Baustein ausgebildet. Hierdurch kann ein kostengünstiges Steuergerät geschaffen werden.
  • Vorteilhafte Ausführungsformen und Weiterbildungen der Erfindung sind in der nachfolgenden Beschreibung der Figuren erläutert. Für funktionsäquivalente Größen und Merkmale werden unabhängig von deren Ausführungsform teilweise die gleichen Bezugszeichen verwendet. In der Zeichnung zeigen:
  • 13 jeweils ein schematisches Blockdiagramm eines Steuergeräts eines Kraftfahrzeugs; und
  • 4 einen schematischen Ablauf einer Fehlererkennung.
  • 1 zeigt ein schematisches Blockdiagramm eines Steuergeräts 2. Ein Mehrkernprozessor 4 umfasst einen ersten Rechenkern 6, einen zweiten Rechenkern 8 und einen dritten Rechenkern 10. Dem Mehrkernprozessor 4 ist eine außerhalb des Mehrkernprozessors 4 angeordnete Watchdog-Einheit 12 zugeordnet. Des Weiteren umfasst der Mehrkernprozessor 4 einen Lockstep-Rechenkern 14, welcher dazu ausgebildet ist, die dem ersten Rechenkern 6 zugeführten Eingangsdaten bzw. -instruktionen in redundanter Form gemäß eines Lockstep-Verfahrens abzuarbeiten.
  • In einer Ausführungsform arbeitet der erste Rechenkern 6 nicht gemeinsam mit einem Lockstep-Rechenkern gemäß dem Lockstep-Verfahren. Hierbei umfasst die Selbsttest-Einheit 16 neben einer Programmablaufkontrolle auch einen zusätzlichen Instruktionstest in Hard- oder Software.
  • Auf den Rechenkernen 6, 8 und 10 werden jeweilige Tasks T_6, T_8, T_10 ausgeführt. Bei den Tasks T handelt es sich unter anderem um Prozesse, die einer Steuerebene des Steuergeräts zugeordnet sind, wobei die jeweiligen Tasks T beispielsweise Berechnungen durchführen, die zu einer Steuerung bzw. Signalisierung von außerhalb des Steuergeräts 2 angeordneten Entitäten wie beispielsweise Antriebseinheiten, Anzeigevorrichtungen oder weiteren Steuergeräten dienen.
  • Auf dem Rechenkern 6 wird eine erste Selbsttest-Einheit 16 ausgeführt. Auf dem Rechenkern 8 wird eine zweite Selbsttest-Einheit 18 ausgeführt. Auf dem Rechenkern 10 wird eine dritte Selbsttest-Einheit 20 ausgeführt. Die jeweiligen Selbsttest-Einheiten 16, 18, 20 führen jeweilige Selbstprüfungen durch. Diese Selbstprüfungen können beispielsweise im Falle eines zugeordneten Lockstep-Rechenkerns 14 sich auf eine Programmablaufkontrolle der dort ablaufenden Tasks T beschränken. Im Falle eines nicht im Lockstep-Verfahren arbeitenden Rechenkerns 8 umfasst die jeweilige Selbsttest-Einheit 18 neben einer Programmablaufkontrolle auch einen zusätzlichen Instruktionstest, welcher in Hard- oder Software ausgeführt sein kann. Selbstverständlich sind weitere Selbsttests denkbar, welche beispielsweise Speichertests oder Ähnliches umfassen.
  • Die erste Selbsttest-Einheit 16 erzeugt in Abhängigkeit von einer durchgeführten Selbstprüfung ein erstes Prüfergebnis 26. Die zweite Selbsttest-Einheit 18 erzeugt in Abhängigkeit von einer durchgeführten Selbstprüfung ein zweites Prüfergebnis 28. Die dritte Selbsttest-Einheit 20 erzeugt Abhängigkeit von einer durchgeführten Selbstprüfung ein viertes Prüfergebnis 30. Die beiden Prüfergebnisse 28 und 30 werden einer zweiten Kontrolleinheit 22 zugeführt, welche die beiden Prüfergebnisse 28 und 30 zu einem dritten Prüfergebnis 32 zusammenfasst.
  • Das dritte Prüfergebnis 32 wird gemeinsam mit dem ersten Prüfergebnis 26 einer ersten Kontrolleinheit 24 zugeführt. Die erste Kontrolleinheit 24 erzeugt eine Zustandsantwort 34 in Abhängigkeit von dem ersten Prüfergebnis 26 und dem dritten Prüfergebnis 32. Die Zustandsantwort 34 wird von der ersten Kontrolleinheit 24 auf eine empfangene Zustandsanfrage 36 hin, welche von der Watchdog-Einheit 12 erzeugt wird, ermittelt. Die Watchdog-Einheit 12 vergleicht die empfangene Zustandsantwort 34 mit einer Soll-Zustandsantwort. Stimmt die Zustandsantwort 34 nicht mit der Soll-Zustandsantwort überein, so ermittelt die Watchdog-Einheit 12 einen Fehler 38. In Abhängigkeit von dem Fehler 38 kann eine nicht gezeigte Fehlerbehandlungseinheit den Mehrkernprozessor 4 abschalten, neu starten oder einen Interrupt auslösen. Des Weiteren ermittelt die Watchdog-Einheit 12 den Fehler 38, wenn nicht innerhalb eines vordefinierten Zeitfensters eine Zustandsantwort 34 vorliegt.
  • Insbesondere wird mittels der ersten Selbsttest-Einheit 16 eine Programmablaufkontrolle in Bezug auf die Ausführung der zweiten Kontrolleinheit 22 ausgeführt. Das erste Prüfergebnis 26 umfasst damit ein Ergebnis der Programmablaufkontrolle. Bevorzugt ermittelt die erste Kontrolleinheit 24 die Zustandsantwort 34 durch eine Exklusiv-Oder-Verknüpfung (XOR) der zugeführten Prüfergebnisse wie beispielsweise der Prüfergebnisse 26 und 32. In nicht gezeigter Form können der ersten Kontrolleinheit 24 auch das zweite und/oder vierte Prüfergebnisse 28, 30 zugeführt werden.
  • 2 zeigt eine weitere Ausführungsform des Steuergeräts 2 in einem schematischen Blockdiagramm. Die Watchdog-Einheit 12 umfasst eine Einheit 40 zur Erzeugung der Zustandsanfrage 36, eine Einheit 42 zum Vergleich der empfangenen Zustandsantwort 34 mit der Soll-Zustandsantwort sowie eine Einheit 44 zur Überwachung der Zeitdauer, zu deren Ende die Zustandsantwort 34 vorliegen muss, sollte kein Fehler ausgelöst werden. Die Watchdog-Einheit 12 ist bevorzugt als ein Hardware-Baustein 46 beispielsweise als Teil eines ASIC (Application Specific Integrated Circuit) ausgeführt. Die Zustandsanfrage 36 und die Zustandsantwort 34 werden zwischen dem Mehrkernprozessor 4 und dem Hardware-Baustein 46 mittels eines Bussystems 48, beispielsweise mittels eines SPI-Bussystems (SPI: Serial Peripheral Interface), übermittelt.
  • Der Mehrkernprozessor 4 kann weitere Rechenkerne wie beispielsweise den Rechenkern 50, welcher eine weitere Selbsttest-Einheit 52 umfasst, umfassen. Vorliegend wird der zweite Rechenkern 8 mittels eines zugeordneten Lockstep-Rechenkern 54 gemäß dem Lockstep-Verfahren betrieben. Die Selbsttest-Einheiten 16, 18, 20 und 52 übermitteln die jeweiligen Prüfergebnisse 26, 28, 30 und 55 mittels eines Datenbusses 56 in einen ersten Speicherbereich 58 eines Speichers 60 des Mehrkernprozessors 4. Die zweite Kontrolleinheit 22 greift lesend auf den ersten Speicherbereich 58 zu. Die zweite Kontrolleinheit 22 ermittelt das dritte Prüfergebnis 32 und schreibt das dritte Prüfergebnis 32 mittels des Datenbusses 56 in einen zweiten Speicherbereich 62 des Speichers 60.
  • Die erste Kontrolleinheit 24 umfasst eine Einheit 64 zum Empfang der Zustandsanfrage 36, eine Einheit 66 zu Ermittlung der Zustandsanfrage 34 sowie eine Einheit 68 zur Überwachung der Watchdog-Einheit 12. Die zweite Kontrolleinheit 22 ermittelt einen weiteren Fehler 70, welcher einer Fehlerbehandlungseinheit 72 zugeführt wird. Der Fehler 38 wird auch der Fehlerbehandlungseinheit 72 zugeführt. Die Fehlerbehandlungseinheit 72 kann in Abhängigkeit von dem weiteren Fehler 70 und in Abhängigkeit von dem Fehler 38 dem Mehrkernprozessor 4 zugehörige Endstufen abschalten, einen Reset des Mehrkernprozessors 4 initiieren sowie einen Interrupt für den Mehrkernprozessor 4 auslösen. Der weitere Fehler 70 wird von der zweiten Kontrolleinheit 22 ermittelt, wenn eines der in dem ersten Speicherbereich 58 abgelegten Prüfergebnisse 26, 28, 30 oder 55 von einem entsprechenden Soll-Prüfergebnis abweicht oder eine Zeitdauer zur Verfügung Stellung des jeweiligen Prüfergebnisses 26, 28, 30 oder 55 abgelaufen ist.
  • 3 zeigt eine weitere Ausführungsform des Steuergeräts 2 in einem schematischen Blockdiagramm. Im Unterschied zu 2 umfasst das Steuergerät 2 einen sekundären Mehrkernprozessor 4B, welcher beispielsweise analog zu dem Mehrkernprozessor 4 aufgebaut und konfiguriert sein kann. Selbstverständlich kann der sekundären Mehrkernprozessor 4B in seiner Konfiguration auch abweichen. Auf dem zweiten Prozessorkern 8 wird eine weitere Watchdog-Einheit 12B als Softwaremodul ausgeführt. Die weitere Watchdog-Einheit 12B umfasst im Wesentlichen dieselben Funktionen wie die Watchdog-Einheit 12, welche als Hardware-Baustein 46 ausgeführt ist. Die weitere Watchdog-Einheit 12B erzeugt eine weitere Zustandsanfrage 36B, welche mittels eines Datenbus 74, welcher beispielsweise als UART-Bus (UART: Universal Asynchronous Receiver Transmitter) ausgeführt sein kann, an eine sekundäre erste Kontrolleinheit 24B, welche auf einem sekundären ersten Rechenkern 6B ausgeführt wird, übermittelt wird. Eine weitere Zustandsantwort 34B wird mittels der sekundären ersten Kontrolleinheit 24B in Abhängigkeit von der weiteren Zustandsanfrage 36B ermittelt. Die weitere Watchdog-Einheit 12B ermittelt in Abhängigkeit von der weiteren Zustandsantwort 34B einen weiteren Fehler 38B. Der Fehler 38B wird über einen Hardware-Pin der sekundären Fehlerbehandlungseinheit 72B zugeführt.
  • Eine sekundäre erste Selbsttest-Einheit 22B ermittelt ein sekundäres erstes Prüfergebnis 16B. Ein sekundäres zweites Prüfergebnis 28B wird mittels einer sekundären zweiten Selbsttest-Einheit 18 übermittelt. Ein sekundäres viertes Prüfergebnis 30B wird mittels einer sekundären dritten Selbsttest-Einheit 20B ermittelt. Die sekundäre zweite Kontrolleinheit 22B ermittelt in Abhängigkeit von dem sekundären zweiten und sekundären vierten Prüfergebnis 28B, 30B ein sekundäres drittes Prüfergebnis 32B. Die sekundäre Zustandsantwort 34B wird mittels der sekundären ersten Kontrolleinheit 24B in Abhängigkeit von dem sekundären ersten Prüfergebnis 26B und in Abhängigkeit von dem sekundären dritten Prüfergebnis 32B ermittelt. Der zweite Rechenkern 8 des Mehrkernprozessors 4 wird mittels des zugeordneten Lockstep-Rechenkerns 54 gemäß dem Lockstep-Verfahren betrieben. Der sekundäre erste Rechenkern 6B des sekundären Mehrkernprozessors 4B wird mittels eines zugeordneten Lockstep-Rechenkerns 14B gemäß dem Lockstep-Verfahren betrieben.
  • Selbstverständlich sind Erweiterungen des in 3 gezeigten Prinzips denkbar. So können beispielsweise die Rechenkerne 10 und 50, soweit sie mit einem zugeordneten Lockstep-Rechenkern in einem Lockstep-Verfahren arbeiten, weitere als Softwaremodule ausgeführte Watchdog-Einheiten analog zu der weiteren Watchdog-Einheit 12B umfassen, um weitere Mehrkernprozessoren in das hier erläuterte Watchdog-Verfahren einzubinden. Selbstverständlich kann auch der sekundäre zweite Rechenkern 8B eine weitere sekundäre Watchdog-Einheit zur Ausführung umfassen. Es wird explizit darauf hingewiesen, dass die Wortwahl "sekundär" in Bezug auf den sekundären Mehrkernprozessor 4B und dessen Komponenten in erster Linie zur sprachlichen Unterscheidung dient.
  • 4 zeigt in schematischer Form einen Ablauf einer Fehlererkennung. Beispielhaft ist ein zeitlicher Ablauf von Tasks T8_1, T8_2 und T8_3 auf dem zweiten Rechenkern 8 gezeigt. Die dem zweiten Rechenkern 8 zugeordnete Selbsttest-Einheit 18 führt beispielsweise eine Programmablaufkontrolle in Bezug auf die einzelnen Tasks durch und erzeugt eine entsprechende Signatur 76_1 76_2 und 76_3. Beim Ablauf der Tasks T_3 geschieht ein Fehler 78, was sich in der Signatur 76_3 niederschlägt. Die Signaturen 76 werden in dem ersten Speicherbereich 58 abgelegt. Die Signaturen 76 entsprechen dem zweiten Prüfergebnis 28.
  • Die zweite Kontrolleinheit 22 führt Überprüfungen der Signaturen 76 mit erwarteten Soll-Signaturen 78 durch. Die ermittelte Signatur 76_3 weicht von der Soll-Signatur 78_3 ab, weshalb die zweite Kontrolleinheit 22 den weiteren Fehler 70 ermittelt und diesen weiteren Fehler 70 an die Fehlerbehandlungseinheit 72 übermittelt.
  • Stimmen bei dem durch die zweite Kontrolleinheit 22 durchgeführten Vergleich die Signatur 76 und die Soll-Signatur 78 überein, so wird eine Sequenznummer 80 inkrementiert. Bei mangelnder Übereinstimmung der Signatur 76_3 und der Soll-Signatur 78_3 wird die Sequenznummer 80_2 nicht inkrementiert und weist im Folgezustand den gleichen Wert auf. Der Zähler 80 entspricht dem dritten Prüfergebnis 32, welches in dem zweiten Speicherbereich 62 abgelegt wird. Selbstverständlich kann alternativ zu den vorgesehenen Sequenznummern 80 auch eine andere Art der Verknüpfung der Signaturen 76 vorgesehen werden. Beispielsweise können die Signaturen 76, welche der zweiten Kontrolleinheit 22 zugeführt werden, mittels einer Exklusiv-Oder-Verknüpfung zu dem dritten Prüfergebnis 32 verknüpft werden.
  • Die erste Kontrolleinheit 24 führt einen Vergleich der Sequenznummer 80 und einer Soll-Sequenznummer 82 durch. Wird die Soll-Sequenznummer 82_3 erwartet, allerdings eine nicht inkrementierte Sequenznummer 82_2 gelesen, so wird in einen Fehlerzustand 84 gewechselt. Die Einheit 64 der ersten Kontrolleinheit 24 empfängt die Zustandsanfrage 36_2. Anhand des festgestellten Fehlerzustandes 84 erzeugt die Einheit 66 der ersten Kontrolleinheit 24 eine Zustandsantwort 34_2, welche einen Fehlerzustand des Mehrkernprozessors 4 an die Watchdog-Einheit 12 anzeigt. Zusätzlich kann die Zustandsantwort 34_2 an die Fehlerbehandlungseinheit 72 übergeben werden.
  • Jeder der Rechenkerne 6, 8 und 10 schreibt in einem regelmäßigen Zeitabstand T1 eine Signatur 76 bzw. ein jeweiliges Prüfergebnis 2630 in den ersten Speicherbereich 58. Die zweite Kontrolleinheit 22 führt ihre Überprüfung mit einem Zeitabstand T2 durch, welcher kleiner als oder gleich dem Zeitabstand T1 sein kann. Die erste Kontrolleinheit 24 sendet in einem regelmäßigen Zeitabstand T3, welcher größer als der Zeitabstand T2 ist, die Zustandsantwort 34 an die zugeordnete Watchdog-Einheit 12. Des Weiteren ist der Zeitabstand T2 kleiner als ein festgelegtes Fehlertoleranzintervall (FTTI). Selbstverständlich sind auch andere Relationen der Zeitabstände T1, T2 und T3 zueinander möglich. Die zeitliche Entkopplung der Zeitabstände wird durch das Vorsehen der Kontrolleinheiten 22 und 24 erreicht.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 4438714 A1 [0004]
    • DE 10331872 A1 [0005]
    • DE 10113917 A1 [0006]

Claims (12)

  1. Ein Verfahren zum Betreiben eines Steuergeräts (2) eines Kraftfahrzeugs, – wobei eine Zustandsanfrage (36) mittels einer Watchdog-Einheit (12) an eine erste Kontrolleinheit (24), welche auf einem ersten Rechenkern (6) eines Mehrkernprozessors (4) ausgeführt wird, übermittelt wird, – wobei eine Zustandsantwort (34) mittels der ersten Kontrolleinheit (24) in Abhängigkeit von der Zustandsanfrage (36) ermittelt wird, und – wobei ein Fehler (38) mittels der Watchdog-Einheit (12) in Abhängigkeit von der Zustandsantwort (34) ermittelt wird, dadurch gekennzeichnet, – dass ein erstes Prüfergebnis (26) mittels einer ersten Selbsttest-Einheit (16), welche auf dem ersten Rechenkern (6) ausgeführt wird, ermittelt wird, – dass ein zweites Prüfergebnis (28) mittels einer zweiten Selbsttest-Einheit (18), welche auf einem zweiten Rechenkern (8) des Mehrkernprozessors (4) ausgeführt wird, ermittelt wird, – dass ein drittes Prüfergebnis (32) mittels einer zweiten Kontrolleinheit (22) in Abhängigkeit von dem zweiten Prüfergebnis (28) ermittelt wird, und – dass die Zustandsantwort (34) mittels der ersten Kontrolleinheit (24) in Abhängigkeit von dem ersten Prüfergebnis (26) und in Abhängigkeit von dem dritten Prüfergebnis (32) ermittelt wird.
  2. Das Verfahren nach dem Anspruch 1, – wobei ein viertes Prüfergebnis (30) mittels einer dritten Selbsttest-Einheit (20), welche auf einem dritten Rechenkern (10) des Mehrkernprozessors (4) ausgeführt wird, ermittelt wird, und – wobei das drittes Prüfergebnis (32) mittels der zweiten Kontrolleinheit (22) in Abhängigkeit von dem zweiten Prüfergebnis (28) und in Abhängigkeit von dem vierten Prüfergebnis (30) ermittelt wird.
  3. Das Verfahren nach Anspruch 1 oder 2, – wobei das zweite Prüfergebnis (28) mit einem zweiten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit (22) verglichen wird, und/oder – wobei das vierte Prüfergebnis (30) mit einem vierten Soll-Prüfergebnis mittels der zweiten Kontrolleinheit (22) verglichen wird, und/oder – wobei ein weitere Fehler (70) ermittelt wird, wenn das zweite und/oder vierte Prüfergebnis (28, 30) von dem jeweiligen zweiten und/oder dritten Soll-Ergebnis abweicht.
  4. Das Verfahren nach Anspruch 3, – wobei der weitere Fehler (70) mittels der zweiten Kontrolleinheit (22) ermittelt wird, wenn nach Ablauf einer Zeitdauer das zweite oder vierte Prüfergebnis (28, 30) nicht vorliegt.
  5. Das Verfahren nach einem der vorstehenden Ansprüche, – wobei der erste Rechenkern (6) mittels eines zugeordneten Lockstep-Rechenkerns (14) gemäß einem Lockstep-Verfahren betrieben wird.
  6. Das Verfahren nach einem der vorstehenden Ansprüche, – wobei die zweite Kontrolleinheit (22) auf dem ersten Rechenkern (6) ausgeführt wird, – wobei eine Programmablaufkontrolle in Bezug auf die Ausführung der zweiten Kontrolleinheit (22) ausgeführt wird, und – wobei das erste Prüfergebnis (26) ein Ergebnis der Programmablaufkontrolle umfasst.
  7. Das Verfahren nach einem der vorstehenden Ansprüche, – wobei eine weitere Zustandsanfrage (36B) mittels einer weiteren Watchdog-Einheit (12B), welche auf dem zweiten Prozessorkern (8) ausgeführt wird, an eine sekundäre erste Kontrolleinheit (24B), welche auf einem sekundären ersten Rechenkern (6B) eines sekundären Mehrkernprozessors (4B) ausgeführt wird, übermittelt wird, – wobei eine weitere Zustandsantwort (34B) mittels der sekundären ersten Kontrolleinheit (24B) in Abhängigkeit von der weiteren Zustandsanfrage (36B) ermittelt wird, – wobei ein weiterer Fehler (38B) mittels der weiteren Watchdog-Einheit (12B) in Abhängigkeit von der weiteren Zustandsantwort (34B) ermittelt wird, – wobei ein sekundäres erstes Prüfergebnis (26B) mittels einer sekundären ersten Selbsttest-Einheit (16B), welche auf dem sekundären ersten Rechenkern (6B) ausgeführt wird, ermittelt wird, – wobei ein sekundäres zweites Prüfergebnis (28B) mittels einer sekundären zweiten Selbsttest-Einheit (18B), welche auf einem sekundären zweiten Rechenkern (8B) des sekundären Mehrkernprozessors (4B) ausgeführt wird, ermittelt wird, – wobei ein sekundäres drittes Prüfergebnis (32B) mittels einer sekundären zweiten Kontrolleinheit (22B) in Abhängigkeit von dem sekundären zweiten Prüfergebnis (28B), und – wobei die sekundäre Zustandsantwort (34B) mittels der sekundären ersten Kontrolleinheit (24B) in Abhängigkeit von dem sekundären ersten Prüfergebnis (26B) und in Abhängigkeit von dem sekundären dritten Prüfergebnis (32B) ermittelt wird.
  8. Das Verfahren nach dem Anspruch 7, – wobei ein sekundäres viertes Prüfergebnis (30B) mittels einer sekundären dritten Selbsttest-Einheit (20B), welche auf einem sekundären dritten Rechenkern (10B) des sekundären Mehrkernprozessors (4B) ausgeführt wird, ermittelt wird, – wobei ein sekundäres drittes Prüfergebnis (32B) mittels einer sekundären zweiten Kontrolleinheit (22B) in Abhängigkeit von dem sekundären zweiten Prüfergebnis (28B) und in Abhängigkeit von dem sekundären vierten Prüfergebnis (30B) ermittelt wird.
  9. Das Verfahren nach dem Anspruch 8 oder 9, – wobei der zweite Rechenkern (8) des Mehrkernprozessors (4) mittels eines zugeordneten Lockstep-Rechenkerns (54) gemäß dem Lockstep-Verfahren betrieben wird, und – wobei der sekundäre erste Rechenkern (6B) mittels eines zugeordneten Lockstep-Rechenkerns (14B) gemäß dem Lockstep-Verfahren betrieben wird.
  10. Das Verfahren nach einem der vorstehenden Ansprüche, wobei die Watchdog-Einheit (12) als ein Hardware-Baustein (46) ausgebildet ist.
  11. Ein Steuergerät (22) für ein Kraftfahrzeug, – wobei eine Zustandsanfrage (36) mittels einer Watchdog-Einheit (12) an eine erste Kontrolleinheit (24), welche auf einem ersten Rechenkern (6) eines Mehrkernprozessors (4) ausführbar ist, übermittelbar ist, – wobei eine Zustandsantwort (34) mittels der ersten Kontrolleinheit (6) in Abhängigkeit von der Zustandsanfrage (36) ermittelbar ist, und – wobei ein Fehler (38) mittels der Watchdog-Einheit (12) in Abhängigkeit von der Zustandsantwort (34) ermittelbar ist, dadurch gekennzeichnet, – dass ein erstes Prüfergebnis (26) mittels einer ersten Selbsttest-Einheit (16), welche auf dem ersten Rechenkern (6) ausführbar ist, übermittelbar ist, – dass ein zweites Prüfergebnis (28) mittels einer zweiten Selbsttest-Einheit (18), welche auf einem zweiten Rechenkern (8) des Mehrkernprozessors (4) ausführbar ist, übermittelbar ist, – dass ein drittes Prüfergebnis (32) mittels einer zweiten Kontrolleinheit (22) in Abhängigkeit von dem zweiten Prüfergebnis (28) ermittelbar ist, und – dass die Zustandsantwort (34) mittels der ersten Kontrolleinheit (24) in Abhängigkeit von dem ersten Prüfergebnis (26) und in Abhängigkeit von dem dritten Prüfergebnis (32) ermittelbar ist.
  12. Das Steuergerät (2) nach dem vorstehenden Anspruch, welches zur Ausführung des Verfahrens nach einem der Ansprüche 2 bis 10 ausgebildet ist.
DE102016210984.7A 2016-06-20 2016-06-20 Verfahren zum Betreiben eines Steuergeräts Pending DE102016210984A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016210984.7A DE102016210984A1 (de) 2016-06-20 2016-06-20 Verfahren zum Betreiben eines Steuergeräts
US15/617,610 US10384689B2 (en) 2016-06-20 2017-06-08 Method for operating a control unit
CN201710464055.1A CN107526290B (zh) 2016-06-20 2017-06-19 用于运行控制器的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016210984.7A DE102016210984A1 (de) 2016-06-20 2016-06-20 Verfahren zum Betreiben eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102016210984A1 true DE102016210984A1 (de) 2017-12-21

Family

ID=60481435

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016210984.7A Pending DE102016210984A1 (de) 2016-06-20 2016-06-20 Verfahren zum Betreiben eines Steuergeräts

Country Status (3)

Country Link
US (1) US10384689B2 (de)
CN (1) CN107526290B (de)
DE (1) DE102016210984A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021175385A1 (de) * 2020-03-06 2021-09-10 Continental Teves Ag & Co. Ohg Bremsanlage mit redundanter parkbremsenansteuerung

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3085596B1 (de) * 2015-04-20 2017-11-29 Autoliv Development AB Elektronisches fahrzeugsicherheitssteuerungssystem
DE102016220197A1 (de) * 2016-10-17 2018-04-19 Robert Bosch Gmbh Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
US10838835B2 (en) * 2017-12-29 2020-11-17 Intel Corporation Scheduling periodic CPU core diagnostics within an operating system during run-time
US20210070321A1 (en) * 2018-03-13 2021-03-11 Hitachi Automotive Systems, Ltd. Abnormality diagnosis system and abnormality diagnosis method
IT201900018362A1 (it) * 2019-10-10 2021-04-10 Texa Spa Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10113917A1 (de) 2001-03-21 2002-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3434405B2 (ja) * 1996-03-19 2003-08-11 富士通株式会社 通信制御装置及び通信制御方法並びに中間通信制御ユニット
US6523126B1 (en) * 1999-10-18 2003-02-18 Intel Corporation Watchdog timer that is disabled upon receiving sleep status signal from monitored device wherein monitored device is not responsive to time-out of watchdog timer
US7526422B1 (en) * 2001-11-13 2009-04-28 Cypress Semiconductor Corporation System and a method for checking lock-step consistency between an in circuit emulation and a microcontroller
JP2004322740A (ja) * 2003-04-22 2004-11-18 Toyota Motor Corp 車両用制御装置の故障診断装置
DE102005025520A1 (de) * 2005-06-03 2006-12-07 Robert Bosch Gmbh Verfahren zur modellbasierten Diagnose eines mechatronischen Systems
US7796589B2 (en) * 2005-08-01 2010-09-14 American Power Conversion Corporation Communication protocol
US7941699B2 (en) * 2008-03-24 2011-05-10 Intel Corporation Determining a set of processor cores to boot
KR101039926B1 (ko) * 2009-04-21 2011-06-09 기아자동차주식회사 차량용 자기진단 제어 시스템
US8458533B2 (en) * 2010-11-03 2013-06-04 Texas Instruments Incorporated Watch dog timer and counter with multiple timeout periods
JP5527270B2 (ja) * 2011-04-12 2014-06-18 株式会社デンソー 車載用電子制御装置
JP5722150B2 (ja) * 2011-07-21 2015-05-20 ルネサスエレクトロニクス株式会社 マイクロコントローラ
DE102011121441A1 (de) * 2011-12-16 2013-06-20 GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) Verfahren zum Betreiben eines Fehlerdiagnosesystems eines Fahrzeugs und Fahrzeug
CN102591330B (zh) * 2012-03-09 2013-12-11 北京信息科技大学 一种工程车辆电控***故障检测装置及其检测方法
US9201719B2 (en) * 2012-03-16 2015-12-01 Infineon Technologies Ag Method and system for timeout monitoring
DE102012015272A1 (de) * 2012-07-31 2014-02-06 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
WO2014203028A1 (en) * 2013-06-17 2014-12-24 Freescale Semiconductor, Inc. Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data
CN103823362A (zh) * 2014-02-17 2014-05-28 南京航空航天大学 基于仲裁机制的相似双余度飞控计算机及冗余控制方法
US9870004B2 (en) * 2014-05-21 2018-01-16 Bell Helicopter Textron Inc. High authority stability and control augmentation system
DE102014220781A1 (de) * 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
EP3085596B1 (de) * 2015-04-20 2017-11-29 Autoliv Development AB Elektronisches fahrzeugsicherheitssteuerungssystem
CN105257484B (zh) * 2015-11-05 2018-11-13 北京天诚同创电气有限公司 风力发电机组的刹车检测方法、装置及***
US10445169B2 (en) * 2016-04-08 2019-10-15 Nxp Usa, Inc. Temporal relationship extension of state machine observer

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10113917A1 (de) 2001-03-21 2002-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021175385A1 (de) * 2020-03-06 2021-09-10 Continental Teves Ag & Co. Ohg Bremsanlage mit redundanter parkbremsenansteuerung

Also Published As

Publication number Publication date
CN107526290A (zh) 2017-12-29
US20170361852A1 (en) 2017-12-21
CN107526290B (zh) 2022-05-31
US10384689B2 (en) 2019-08-20

Similar Documents

Publication Publication Date Title
DE102016210984A1 (de) Verfahren zum Betreiben eines Steuergeräts
EP1337921A1 (de) Vorrichtung zur überwachung eines prozessors
DE102007045398A1 (de) Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
EP3571593A1 (de) Redundante prozessorarchitektur
WO2018233934A1 (de) Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls
DE102009054637A1 (de) Verfahren zum Betreiben einer Recheneinheit
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
EP1615087B1 (de) Steuer- und Regeleinheit
DE102007056218A1 (de) Verfahren zur Behandlung von transienten Fehlern in Echtzeitsystemen, insbesondere in Steuergeräten von Kraftfahrzeugen
DE102014014858A1 (de) Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum abgesicherten Durchführen einer Funktion
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
DE102016216434A1 (de) Elektronische Steuereinheit und Computerprogramm
DE102008004206A1 (de) Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug
EP1894101A1 (de) Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
WO2016206847A1 (de) Verfahren und vorrichtung zum absichern einer programmzählerstruktur eines prozessorsystems und zum überwachen der behandlung einer unterbrechungsanfrage
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102013213402A1 (de) Mikrocontroller mit mindestens zwei Kernen
DE102009001048A1 (de) Vorrichtung und Verfahren zur Prüfung der Arbeitsweise eines Rechnersystems
DE112018002612T5 (de) Fahrzeugsteuervorrichtung
DE102016203852A1 (de) Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug
EP2328304A1 (de) Schaltungsanordnung und ein Steuergerät für sicherheitsrelevante Funktionen
EP2225640A1 (de) Verfahren zum identifizieren gegenseitiger beeinflussung von softwarekomponenten
DE112017000868B4 (de) Elektronische Steuervorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed